Überhöhten Netzwerktraffic mit Wireshark ausmachen

Bionic80 · 14. November 2019 um 07:17

Hallo Zusammen,
Ich habe mal eine Frage bezüglich überhöhten Netzwerkverkehr.
Ich soll bei uns, in einer ehr kleineren Firma das Netzwerk analysieren.
Mir viel als erstes Wireshark ein. IT ist allerdings nicht gerade mein Fachbereich. Würde mich dennoch gerne etwas damit beschäftigen und dieses kleine Problem lösen. Also zum Problem. Wir haben bei uns in der Firma die Licht-Steuerung und Fenstermotorensteuerung über eine Phönix SPS-Technik realisiert. Dies sind Bus-Koppler-Steuerungen, die über Ethernetbasis untereinander kommunizieren. Das Problem, mein Chef würde gerne vom internen Firmen- Netzwerk auf die Steuerungen zugreifen können. Als ein Kollege jedoch über ein ganz normales (günstiges) Switch Das Netzwerk der Steuerungen mit dem Firmennetzwerk verbunden hat. Trat ein Problem auf. Die Steuerungen haben sich immerwieder aufgehangen und die Lichtsteuerung funktionierte nicht mehr. Meine Vermutung der Netzwerk-verkehr ist für die Steuerungen einfach zu hoch. Zu hohes Broadcast-Aufkommen. Ein ähnliches Problem habe ich auch bei einem Kunden, wo wir die Phönix Steuerungen für ein Projekt einsetzen. Meine Frage:
Wie kann ich mir mit Hilfe von Wireshark ein Bild über die Situation machen, sprich wo genau muss ich den Netzwerkverkehr messen und auf welche Protokolle muss ich in Wireshark ggf die Filter setzen und auf welche muss ich achten. Wenn ich Beispielsweise von meinem Arbeitsrechner messe, der im Firmennetzwerk hängt habe ich ohne filtern innerhalb von 10 Minuten Tausende von Datenpaketen aufgezeichnet. Für mich als ehr Leien auf dem Gebiet sieht es ersteinmal scheinbar so aus, als wenn der Netzwerkverkehr schon ganz schön hoch ist. Also ich weis auch, das ein Router da wahrscheinlich Abhilfe schaffen würde, sprich zwei Subnetze zu bilden aber es geht mir um eine realistische Beurteilung der Situation. Also Fragen wie würde ein günstiger reichen. Sollte es ehr Industrie-Standart sein. Also ich hätte gerne Informationen darüber welche Datenpakete die SPS-Steuerungen zum Absturz bringen. Sind es die Arp-Anfragen, die ja sehr häufig im Netzwerk unterwegs sind. Also ich habe gelernt, das ein Switch im allgemeinen nur Broadcasts auf alle Ports durchlässt. Ein Switch hatten wir ja dazwischen, allerdings kann ich an dem Switch nichts konfigurieren. Also interessiert mich auch, ob es wirklich ein Router sein müsste sprich zwei Subnetze bilden, oder ob ich das Problem auch mit einem besseren Switch lösen könnte. Vielleicht auch Layer 3 Switch, wie auch immer.
Und natürlich interessiert mich, wie gesagt, Wie ich eine Richtige für mich aussagekräftige Messung mit Wireshark durchführen könnte.
Ich weis auch, das es in dem Berreich wahrscheinlich viele, viele Möglichkeiten gibt um das Problem zu Lösen mit vielen verschiedenen Geräten.
Wäre um schnelle Hilfe sehr dankbar. Es muss gar nicht so tief in die Materie gehen, bitte so einfach wie möglich.
Danke im vorraus.

Jerry

anon72961154 · 14. November 2019 um 07:17

Was sagt denn der Kundendienst der Phönix Steuerungen zu diesem Problem?
Vielleicht ist diesem das Problem ja bekannt und sie kennnen schon Lösungsmöglichkeiten.

Grüße
HM

Enter Sandman - Metallica - Metallica 1991

Nicki_Little · 14. November 2019 um 07:17

Hallo Jerry,

das Problem übersteigt ein wenig meinen Horizont, den Phoenix Bus kenne ich so vom Hörensagen. ich weiß auch ungefähr wie die Teile aussehen, aber wie sie genau funzen, ist mir unklar…

jedenfalls stellt sich für mich an dieser stelle die Frage, ob die IP Bereiche der beiden netzwerke überhaupt mit einander harmonieren.

die Phoenixgeräte sollten, damit man sie sauber ansprechen kann ja über eine statische IP verfügen.

stellt sich die frage, wie die rechnerarchitektur im Betrieb auschaut. statisch ? dynamisch?

gehen wir mal von einem dynamischen Netzwerk aus, dann würde ich es so angehen, dass der Router so eingestellt wird, dass er dynamische adressen ab einem höheren Startwert (z.b. 100) vergibt.

das würde immernoch für 154 rechner in einer Netzwerkebene ausreichen.

die Phonix-geräte müssten dann den gleichen IP Bereich fest vergeben bekommen und als Endziffer eine freie zwischen 2 (1 belegt in den meisten fällen der router) und 99.

m.e. wird bei den Phönixteilen über DIP Schalter festgelegt, ob die adressen fest oder dynamisch vergeben werden. wird die adresse fest vergeben, muss das glaube ich dann über das netzwerk softwaremässig gelöst werden…

ich hoffe, dir helfen zu können

lg, Nicki

Peter_517461 · 14. November 2019 um 07:17

Hallo Bionic80,

dies sind Themen, die sich nicht online im Internet diskutieren bzw. lösen lassen; hier muss ein (bezahlter!) Fachmann ran, diesen findest Du bei einem IT-Systemhaus in Deiner Nähe.

In aller Kürze: Wireshark wird Dir bei nicht konfigurierbaren Switchen wenig helfen, weil Du an einem anderen Port - wie bereits beschrieben - nur die Broadcasts siehst. Ebenso sind mit derartigen Switchen keine Lastmessungen möglich.

Und hier sehe ich auch das eigentliche Problem: wahrscheinlich sind es weniger die Broadcasts, sondern mehr die Netzwerklast insgesamt, die das Timing Deiner SPS durcheinander bringt.

Die Subnettierung ist sicherlich in dieser Situation eine gute Idee. Das geht entweder über separate oder VLAN-fähige Switche. Die Brücke zwischen den Netzwerken stellt ein Router dar: da muss es eventuell ein teureres Gerät sein, da manche SPS das Routing nicht beherrschen (es lässt sich kein Standard-Gateway einstellen) und damit NAT eingesetzt werden muss.

Meine Vorgehensweise wäre, das Normal-Netz außenherum zu migrieren, da die Umstellung der SPS meistens komplizierter ist.

Aber: wirklich ein Systemhaus machen lassen, das ist ohne Fachwissen nicht zu stemmen!

Andreas_Foerstermann · 14. November 2019 um 07:17

Hallo Jerry,

auch ich muss hier eine wenig passen.
Allerdings glaube ich, dass Dein Problem mit der ausgewähleten Hardware zu tun hat. Ein Switch zwischen zu klemmen ist sicher nicht die die falsche Lösung, allerdings sollte dieser dann zu managen sein.
Ein „Billigheimer“ ist das dann nicht gerade…

Ich würde hier auch eher einen Router einsetzen. Wenn es etwas ganz preiswertes sein soll, wäre evtl. ein bzw. zwei „Fli4l-Router“ das richtige. „Goggle“ bitte mal unter der Bezeichnung, dort wirst Du fündig.
Evtl. hilft auch aus dem Open-Source-Bereich ein „Eis-Server“

Hoffe es hilft…
Für Dein Projekt viel Glück.
Andreas

Roadrunner151 · 14. November 2019 um 07:17

Es macht immer Sinn 2 Grundlegend verschiedene Netzwerke (Lichtsteuerung und Arbeitsplätze) durch Subnetting zu trennen. Hier kann ein Router mit 2 LAN Schnittstellen bereits genügen. Von Home User Produkten würde ich allerdings absehen, da diese oftmals für Einsatz als Internetrouter konzipiert sind - sprich es läßt sich meist nur die komplett konfigurieren und die WAN Seite nur bedingt und NAT ist oftmals nicht abschaltbar). In deinem Fall sollte auch ein Layer 3 Switch funktionieren. Er muß lediglich Inter VLAN Routing unterstützen. Gängige Modelle von Cisco, Alcatel, Netgear, D-Link und HP können das auf jeden Fall.
Die SPS Steuerung:
Ich habe bei Phoenix einige SPS Steuerungen angeschaut und habe keine Steuerung gefunden, bei der die einzelnen Module über Ethernet verbunden werden. Lediglich die Hauptmodule verfügen über Ethernetports zur Konfiguration und Überwachung.

Szenario 1: Ihr habt nur Hauptmodule ( Frage: Sind alle SPS Module mit einem Switch verbunden?)
Szenario2: Ihr habt ein Hauptmodul mit mehreren Erweiterungsmodulen. Haupt- und Erweiterungsmodule sind über ein Herstellerspezifisches BUS System verbunden und lediglich das Hauptmodul verfügt über einen Ethernet Anschluss zur Konfiguration.
Hier wäre das Komplette SPS System als ein Client anzusehen, da ja nur das Hauptmodul im Netzwerk eingebunden werden muß und alle anderen Module über das Hauptmodul konfiguriert werden.
Fazit: Um dir da wirklich brauchbare Informationen zu liefern müßte ich wissen, welches SPS System genau verbaut ist, und wie das Gesamte System aufgebaut. Das kann dir im Normalfall der Installateur sagen, der das System aufgebaut hat.

3.Überwachung:
Wireshark ist ein sehr gutes Programm zur Netzwerkanalyse entscheiden ist aber nicht die Art und Anzahl der Pakete, sonder der Traffic.
WS bietet hier sich Funktionen zur Auswertung jedoch ist die Software auf einem APC installiert und erhält somit nicht alle Daten.
IdR erreichen deinen Rechner nur Datenpakete, die für Ihn bestimmt sind (alles was an seine MAC Adresse geht) oder Pakete die alle empfangen sollen (Multi- und Broadcasts wie ARP, DHCP, Streaming).
Ein guter Switch kann hier Abhilfe schaffen. Fast alle Managedbaren Switchen (egal ob Layer 2 oder 3) bieten Port Mirroring an - damit kannst du den gesamten Traffic z.B. auf den Port deines APC leiten und siehst mit Wireshark alle Pakete.
HP und Alcatel können z.B. Paketmitschnitte machen, die du anschliessend auf deinen Rechner lädst und mit wireshark anschauen kannst.
Cisco hat sehr viele Funktionen zum debuggen (Fehlersuche) eingebaut und kann dies auch in Protokolldateien speichern.
Und nahezu alle Switche ab Layer2 haben einen Weboberfläche, welche es in der Regel auch erlaubt die Geräteauslastung statistich zu erfassen.
Selbst ohne das Problem mit den 2 Netzen macht es im Businessbereich immer Sinn auf hochwertige Geräte zu setzen, da die Verwaltungs- und Überwachungsmöglichkeiten Grandios und oft auf Kosteneffizient sind.

HOffe ich konnte dir weiterhelfen.
SOlltes du zur SPS Steuerung noch weitere Fragen haben, bräuchte ich halt noch mehr Info’s - gerne auch per PN wenn du eure Firmennetz hier nicht so öffentlich präsentieren willst.

Gruß
Roland

Armin_Oberlaender · 14. November 2019 um 07:17

Hallo Jerry,

die Vermutung mit den Broadcast könnte stimmen. Hatte ich auch schon mal in in unserem Lab. Da wurden zwei einfache switches ausversehen in eine Ringstruktur verkabelt. RSPT (Rapid Spanning Tree) hätte sies verhindert.

Zum Wireshark:

Wireshark staren

Capture > interfaces

Richtiges If heraussuchen.

Statistics > Summary

Hier kann man die Auslastung
des If anschauen.

Avg. MBi/sek

ganz unten beachten…

Statistics >Endpoints Register Ethernet
Hier kann man die "Schätzer"erkennen.

Die MAC Adresse sind hier zunächst wichtig.

Hier kann man auch nach IPv4 oder ggf. IPv6 schauen.

Falls tatsächlich Millionen von Broadcasts (ev. auch Multicasts)
das Netz fluten hilft nur noch eine Neuverkabelung der Switche. Es darf keine Ringstruktur entstehen.

i hope it help

Gruß

Armin

Wolfgang_Schau · 14. November 2019 um 07:17

Ich wuerde empfehlen das Steuerungsnetzwerk vom normalen WLAN getrennt zu halten. Aus Zeitgruenden kann ich im Moment allerdings nicht ins Detail gehen

ancere · 14. November 2019 um 07:17

Sorry für die späte Antwort:

Ich kenne diese Geräte nicht. Kann aber sein das die Broadcasts die Geräte lahm legen da diese sich warscheinlich nicht an die RFC 922 halten.

Zur möglichen lösung (sollten es die Broadcasts sein)
Hängen sie diese Geräte an einen zusätzlichen switch. Somit sind diese dann in einer eigenen Collision Domain. Ich würde einen Layer 3 switch empfehlen da mann dort mehr einstellungen im LAN vornehmen kann als an einem Layer 2 switch.

Lutz_Mahlstedt · 14. November 2019 um 07:17

Moin moin!

Ersteinmal ein dickes Sorry, dass ich erst jetzt wieder etwas aktiver bei WWW werden kann, ich hatte die letzten Monate sehr viel um die Ohren und die E-Mail bzgl. dieser Frage ist total untergegangen.

Ich befürchte bald, dass das Thema nicht mehr aktuell ist? Bitte um kurze Rückmeldung, falls doch, dann schreibe ich eine etwas ausführlichere Antwort!

Beste Grüße
Lutz